Kami sebagai warga masyarakat was-was jika data pribadi kami yang dikelola pemerintah bocor akibat kelalaian pemerintah dalam mengelola data pribadi. Apalagi baru-baru ini PDN diretas sehingga data pribadi masyarakat bocor, diduga akibat keamanan siber PDN yang lemah. Saya sering membaca rubrik Klinik Hukum mengenai jerat pidana bagi hacker yang mencuri data pribadi. Namun, bagaimana bentuk tanggung jawab pemerintah sebagai pengelola data pribadi yang lalai dalam menjalankan kewajibannya? Adakah bentuk pertanggungjawabannya? Mohon penjelasannya.
DAFTAR ISI
INTISARI JAWABAN
PDN atau Pusat Data Nasional merupakan fasilitas yang digunakan untuk penempatan sistem elektronik dan komponen terkait lainnya untuk keperluan penempatan, penyimpanan dan pengolahan data, dan pemulihan data. PDN diselenggarakan oleh Menteri Komunikasi dan Informatika dan/atau pusat data instansi pusat dan pemerintah daerah yang memiliki persyaratan tertentu.
Jika terjadi kebocoran data pribadi, maka Kementerian Informasi dan Informatika (“Kominfo”) dan/atau instansi pusat dan pemerintah daerah yang menyelenggarakan PDN, bertanggung jawab atas kegagalan pelindungan data pribadi. Hal ini karena Kominfo, instansi pusat, maupun pemerintah daerah merupakan pengendali data pribadi sebagaimana diatur di dalam UU PDP.
Lalu, apa bentuk pertanggungjawaban hukum terhadap kebocoran data pribadi yang dipikul oleh pemerintah?
Penjelasan lebih lanjut dapat Anda baca ulasan di bawah ini.
ULASAN LENGKAP
Terima kasih atas pertanyaan Anda.
Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihatPernyataan Penyangkalanselengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung denganKonsultan Mitra Justika.
Wewenang Pusat Data Nasional dan Kewajiban Hukumnya
PDN atau Pusat Data Nasional yang Anda maksud merupakan pusat data yang diatur di dalam Perpres SPBE. Pusat data adalah fasilitas yang digunakan untuk penempatan sistem elektronik dan komponen terkait lainnya untuk keperluan penempatan, penyimpanan dan pengolahan data, dan pemulihan data.[1
PDN sendiri merupakan bagian dari infrastruktur SPBE nasional, yaitu infrastruktur SPBE yang terhubung dengan infrastruktur SPBE instansi pusat dan pemerintah daerah dan digunakan secara bagi pakai oleh instansi pusat dan pemerintah daerah.[2]
Belajar Hukum Secara Online dari Pengajar Berkompeten Dengan Biaya TerjangkauMulai DariRp. 149.000
Adapun, yang dimaksud dengan infrastruktur SPBE (Sistem Pemerintahan Berbasis Elektronik) merupakan semua perangkat keras, perangkat lunak, dan fasilitas yang menjadi penunjang utama untuk menjalankan sistem, aplikasi, komunikasi data, pengolahan dan penyimpanan data, perangkat integrasi/penghubung, dan perangkat elektronik lainnya.[3]
Secara struktur, PDN terdiri atas pusat data yang diselenggarakan oleh Menteri Komunikasi dan Informatika (“Menkominfo”) dan/atau pusat data instansi pusat dan pemerintah daerah yang memiliki persyaratan tertentu.[4]
Dilansir dari Pusat Data Nasional (PDN) Ditjen Aptika,sementara dalam proses pembangunan,Kementerian Komunikasi dan Informatika (“Kominfo”) juga menyelenggarakan layanan PDN Sementara (“PDNS”) yang dapat digunakan semua instansi pemerintahan, yang layanannya meliputi:
Penyediaan layanan government cloud computing (ekosistem PDN yang disediakan oleh Kominfo);
Integrasi dan konsolidasi pusat data instansi pemerintah pusat dan daerah ke PDN;
Penyediaan platform proprietary dan open source software guna mendukung penyelenggaraan aplikasi umum dan khusus SPBE; dan
Penyediaan teknologi yang mendukung bigdata dan artificial intelligence bagi instansi pemerintah pusat dan daerah.
Adapun, beberapa kewajiban hukum PDN antara lain:[5]
Memenuhi standar nasional Indonesia terkait desain dan manajemen pusat data (antara lain manajemen risiko dan manajemen keamanan informasi);
Menyediakan fasilitas bagi pakai dengan instansi pusat dan pemerintah daerah lain;
Mendapatkan pertimbangan kelaikan operasi dari Menkominfo; dan
Mendapatkan pertimbangan kelaikan keamanan siber dari kepala lembaga yang menyelenggarakan tugas pemerintahan di bidang keamanan siber (dalam hal ini adalah Badan Siber dan Sandi Negara atau BSSN).
Tanggung Jawab Pemerintah atas Kebocoran Data Pribadi
Kebocoran data pribadi yang terjadi akibat hacking, menurut UU PDP disebut dengan istilah kegagalan pelindungan data pribadi, yaitu kegagalan melindungi data pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan data pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap data pribadi yang dikirim, disimpan, atau diproses.[6]
Jika merujuk pada ketentuan dalam UU PDP, Kominfo tergolong sebagai pengendali data pribadi yang berbentuk badan publik, sehingga tunduk pada UU PDP. Adapun pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.[7]
Selanjutnya, yang dimaksud dengan badan publik yaitu lembaga eksekutif, legislatif, yudikatif dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara, yang sebagian atau seluruh dananya bersumber dari APBN dan/atau APBD, atau organisasi nonpemerintah sepanjang sebagian/seluruh dananya dari APBN dan/atau APBD, sumbangan masyarakat, dan/atau luar negeri.[8]
Kemudian, pengendali data pribadi mempunyai kewajiban untuk mencegah kebocoran data pribadi dengan melindungi keamanan data pribadi dari pengaksesan dan pengungkapan yang tidak sah, penyalahgunaan, perusakan dan/atau penghilangan data pribadi.[9]
Jika terjadi kebocoran data pribadi, maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam kepada penggunanya (subjek data pribadi) dan lembaga yang menyelenggarakan data pribadi.[10]
Pemberitahuan tersebut harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi tersebut bocor (terungkap), serta upaya penanganan serta pemulihan atas terungkapnya data pribadi.[11]
Jika kebocoran data pribadi tersebut hingga mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat, maka pemerintah, dalam hal ini Kominfo, harus mengumumkan kegagalan pelindungan data pribadi (kebocoran) tersebut kepada masyarakat.[12]
Selain diatur dalam UU PDP, kebocoran data pribadi yang diselenggarakan oleh pemerintah juga diatur di dalam PP 71/2019. Pemerintah atau penyelenggara negara dalam PP 71/2019 tergolong sebagai penyelenggara sistem elektronik lingkup publik.[13]
Jika kemudian terjadi kebocoran data pribadi (kegagalan pelindungan data pribadi) yang dikelolanya, maka penyelenggara sistem elektronik, termasuk dalam hal ini adalah pemerintah, wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.[14]
Pemberitahuan secara tertulis apabila terjadi kegagalan pelindungan rahasia data pribadi tersebut harus memenuhi ketentuan dalam Pasal 28 huruf c Permenkominfo 20/2016 sebagai berikut:
harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia data pribadi;
dapat dilakukan secara elektronik jika pemilik data pribadi telah memberikan persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan data pribadinya;
harus dipastikan telah diterima oleh pemilik data pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
pemberitahuan tertulis dikirimkan kepada pemilik data pribadi paling lambat 14 hari sejak diketahui adanya kegagalan tersebut.
Apabila penyelenggara sistem elektronik tidak memberitahukan secara tertulis kepada pemilik data pribadi, maka dapat dikenai sanksi administratif berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar. Adapun, sanksi administratif ini diberikan oleh Menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika.[15]
Begitu pula di dalam UU PDP, jika pengendali data pribadi tidak memberitahukan pemberitahuan tertulis, maka dapat dikenai sanksi administratif berupa:[16]
peringatan tertulis;
penghentian sementara semua kegiatan pemrosesan data pribadi;
penghapusan atau pemusnahan data pribadi; dan/atau
denda administratif dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[17]
Namun, pengenaan sanksi administratif menurut UU PDP belum dapat dilaksanakan karena lembaga yang mengenakan sanksi administratif[18] tersebut sepanjang penelusuran kami belum dibentuk oleh presiden.
Hal ini menurut Danny Kobrata, praktisi pelindungan data pribadi sekaligus co-founderAPPDI,sebenarnya UU PDP sudah berlaku, namun masih ada waktu dua tahun untuk pelaksanaannya.[19] Ada juga pendapat yang menyatakan bahwa UU PDP belum bisa digunakan, karena masih dalam grace period. Meski UU PDP belum dipakai, tetapi ada ketentuan lain mengenai kondisi jika terjadi kebocoran data pribadi, antara lain PP 71/2019 dan Permenkominfo 20/2016. Kedua peraturan tersebut juga mengatur apa yang harus dilakukan jika ada kebocoran data pribadi, yang berlaku untuk swasta maupun badan publik (penyelenggara negara).
Sepanjang penelusuran kami, selain tanggung jawab pemerintah selaku pengendali data pribadi untuk melakukan pemberitahuan tertulis jika ada kebocoran data pribadi, Pasal 12 UU PDP menegaskan bahwa subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan. Ketentuan lebih lanjut mengenai pelanggaran pemrosesan data pribadi dan tata cara pengenaan ganti ruginya diatur di dalam peraturan pemerintah. Akan tetapi, sepanjang penelusuran kami, peraturan pemerintah yang dimaksud, sampai dengan artikel ini diterbitkan masih belum diundangkan.
Namun demikian, terkait dengan siapa yang bertanggung jawab atas bocornya data pribadi ini, Danny menjelaskan bahwa harus dicek kembali kebocoran data pribadi tersebut terjadi atas kesalahan siapa. Hal ini karena dalam kebocoran data pribadi, belum tentu kesalahan dari entitasnya. Perlu diperiksa kembali, apakah pengendali data pribadi sudah mematuhi ketentuan pemrosesan data pribadi dan apakah telah melaksanakan ketentuan keamanan data pribadi. Jika kemudian masyarakat akan mengajukan gugatan, maka harus dibuktikan terlebih dahulu kebocoran data pribadi itu ada unsur kelalaian/kesalahan pemerintah atau tidak.
Perkaya riset hukum Anda dengan analisis hukum terbaru dwibahasa, serta koleksi terjemahan peraturan yang terintegrasi dalam Hukumonline Pro, pelajari lebih lanjut di sini.
Demikian jawaban dari kami, semoga bermanfaat.
DASAR HUKUM
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik
Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik
Kami telah melakukan wawancara dengan Danny Kobrata, S.H., LLM, praktisi pelindungan data pribadi co-founder APPDI melalui WhatsApp pada Jumat, 5 Juli 2024 pukul 16.01 WIB.